最近我处理了一些被勒索软件感染的计算机,这些计算机的用户文件被加密。我的工作是解密这些文件(如果可能的话),或者恢复尽可能多的可用文件。这还包括从 NTFS 分区映像中恢复文件。
当然,我已经知道“foremost”和“ntfsundelete”工具,我以前也用它们做过其他任务。但是现在我遇到了问题。
问题是这两种工具都试图恢复所有可能的文件,包括已经被覆盖(部分或全部)的文件。这种行为在取证实验室中可能非常有用,因为即使是图像/电影/文档的一小部分也可以作为证据。然而在我的用例中,我的客户只对恢复完全的文件感兴趣,没有时间从数千个损坏的文件中挑选它们。
(我也知道 ntfsundelete 有 -p 开关,但是在很多情况下它不能充分发挥作用。)
所以,我的问题是,从 NTFS 分区自动恢复已删除的文件,避免恢复损坏/覆盖的文件,最省时的方法是什么?